Violaciones de Clientes de Snowflake: Por qué 2024 Marca el Auge de las Amenazas a la Seguridad de la Identidad

Violaciones de Identidad: Una Amenaza Creciente en el Cibercrimen

Las identidades dominan la dark web, alimentando miles de millones en fraudes anualmente. Violaciones de alto perfil, como las de Santander, TicketMaster, Snowflake y recientemente Advanced Auto Parts y LendingTree, demuestran cuán rápidamente los atacantes explotan las vulnerabilidades en la seguridad organizacional. TechCrunch ha confirmado que cientos de contraseñas de clientes de Snowflake vinculadas a malware de robo de información ahora están disponibles en línea. La decisión de Snowflake de hacer que la autenticación multifactor (MFA) sea opcional, en lugar de obligatoria, ha agravado la crisis de identidad que enfrentan sus clientes afectados.

Inteligencia sobre Cibercrimen: Un Panorama de Amenaza Colaborativa

Las organizaciones de cibercrimen y los estados-nación están cada vez más seguros en la ejecución de violaciones de identidad, supuestamente colaborando con proveedores de inteligencia de cibercrimen a través de Telegram. Hudson Rock, un proveedor de inteligencia de cibercrimen, publicó un blog el 31 de mayo que detalla cómo los actores de amenazas vulneraron Snowflake, incluyendo una conversación con el hacker responsable de violaciones anteriores en Santander y TicketMaster.

El blog, ahora eliminado, expuso que el atacante accedió a la cuenta ServiceNow de un empleado de Snowflake utilizando credenciales robadas, eludiendo a OKTA. Una vez dentro, generaron tokens de sesión para navegar por los sistemas de Snowflake sin ser detectados y exfiltraron vastas cantidades de datos.

Autenticación de Un Solo Factor: Una Vulnerabilidad Mayor

La plataforma de Snowflake utiliza por defecto una autenticación de un solo factor, lo que representa serios riesgos de seguridad. Su documentación indica que "por defecto, MFA no está habilitado para usuarios individuales de Snowflake". Los actores de amenazas han dirigido sus ataques a usuarios que dependen de la autenticación de un solo factor, utilizando credenciales adquiridas mediante malware de robo de información. CISA ha emitido una advertencia para todos los clientes de Snowflake.

Las investigaciones de Snowflake, CrowdStrike y Mandiant revelan que los atacantes accedieron a cuentas de demostración mediante las credenciales de un ex-empleado. Estas cuentas, sin medidas de seguridad robustas como Okta o MFA, proporcionaron un punto de entrada a los sistemas de Snowflake. Sin embargo, la empresa sostiene que no hay evidencia de fallos sistémicos en su plataforma.

Violaciones Masivas de Datos que Afectan a Millones

Una de las mayores violaciones en la historia de Santander comprometió la información de tarjetas de crédito y datos personales de hasta 30 millones de clientes. Mientras tanto, 560 millones de clientes de TicketMaster vieron sus datos exfiltrados en una violación separada, exponiendo nombres, direcciones, correos electrónicos, números de teléfono y detalles de tarjetas de crédito. El grupo hacker ShinyHunters ha estado vendiendo activamente estos datos robados en el revitalizado BreachForums.

Además, otro usuario de BreachForums, Sp1d3r, afirmó haber obtenido información de dos empresas adicionales relacionadas con el incidente de Snowflake. Esto incluye datos de Advanced Auto Parts, que involucran 380 millones de registros de clientes, y de los proveedores de servicios de préstamos LendingTree y QuoteWizard, que supuestamente contienen 190 millones de perfiles.

Respuestas Proactivas: Transparencia en las Notificaciones de Violaciones

Los CISO y líderes de seguridad reconocen la importancia de la transparencia al divulgar eventos significativos de ciberseguridad. Santander y TicketMaster informaron rápidamente el acceso no autorizado a sus bases de datos en la nube de terceros.

Live Nation, la empresa matriz de TicketMaster, presentó un informe 8-K ante la SEC, informando que detectó actividad no autorizada el 20 de mayo e inició una investigación. El documento reveló que el 27 de mayo, un hacker ofreció datos presuntamente de la empresa a la venta en la dark web. Santander corroboró esto en su declaración, confirmando el acceso no autorizado a sus bases de datos alojadas por proveedores externos.

Replanteando la Confianza: Mejorando la Seguridad de Identidad

La confianza de los atacantes para comprometer casi 600 millones de registros resalta la necesidad crítica de reevaluar las estrategias de protección de identidad. La dependencia excesiva de métodos de autenticación aumenta la susceptibilidad a las violaciones.

Adoptar un enfoque de cero confianza, que asume que las violaciones pueden haber ocurrido, es vital. El setenta y ocho por ciento de las empresas informa que las violaciones basadas en identidad han afectado negativamente sus operaciones este año. Entre los afectados, el 96% cree que la implementación anticipada de medidas de cero confianza basadas en identidad podría haber prevenido los incidentes.

IAM (Gestión de Identidad y Acceso) es central para el enfoque de cero confianza y se alinea con las directrices bajo NIST SP 800-207. Además, la seguridad de identidad es un aspecto clave de la Orden Ejecutiva 14028 del Presidente Biden.

Las organizaciones están evaluando cada vez más métodos de autenticación avanzados para mitigar riesgos. A pesar de los avances, las contraseñas continúan representando desafíos significativos. Los analistas de Gartner señalan, "A pesar del surgimiento de la autenticación sin contraseña, las contraseñas persisten en muchos casos de uso y siguen siendo una fuente significativa de riesgo y frustración para los usuarios".

Los CISO están enfocados en fortalecer los controles de autenticación, enfatizando lo siguiente:

- Implementar rápidamente autenticación continua para cada identidad.

- Mejorar la higiene de credenciales y aumentar la frecuencia de rotación.

- Restringir a los usuarios a una lista verificada de aplicaciones para mitigar riesgos.

- Utilizar sistemas AM para monitorear todas las actividades relacionadas con la identidad.

- Mejorar el autoservicio de usuarios, BYOI y expandir casos de uso externos.

Para combatir la crisis de identidad, los CISO requieren sistemas de autenticación sin contraseña que sean amigables para el usuario y se adapten a cualquier dispositivo sin comprometer la seguridad. Las soluciones líderes incluyen Microsoft Authenticator, Okta, Duo Security, Auth0, Yubico y Zero Sign-On (ZSO) de Ivanti.

Most people like

Find AI tools in YBX